Een kritieke kwetsbaarheid in de populaire Elementor-plug-in voor WordPress maakt het mogelijk om websites op afstand over te nemen. Een beveiligingsupdate is sinds afgelopen dinsdag beschikbaar. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit.
Meer dan vijf miljoen WordPress-sites maken gebruik van Elementor. In versie 3.6.0 tot en met 3.6.2 zit een kritiek lek waardoor elke geauthenticeerde gebruiker willekeurige PHP-code kan uploaden en uitvoeren. Met de lancering van versie 3.6.0 is een nieuwe onboarding-module toegevoegd voor het vereenvoudigen van de initiële setup van de plug-in. De module voert bepaalde acties pas uit als de gebruiker over een geldige nonce beschikt.
Deze nonce_key was echter eenvoudig voor elke geauthenticeerde gebruiker te verkrijgen. Alleen het bekijken van de broncode van het admin dashboard was voldoende. Dit was ook mogelijk voor subscribers van de betreffende website. Met de nonce_key is het vervolgens mogelijk een functie aan te roepen om willekeurige PHP-code te uploaden en uit te voeren en zo de website over te nemen.
De impact van de kwetsbaarheid, aangeduid als CVE-2022-1329, is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. De Elementor-ontwikkelaars werden op 29 maart ingelicht en kwamen op 12 april met versie 3.6.3 waarin het probleem is verholpen, zo meldt securitybedrijf Wordfence dat de kwetsbaarheid ontdekte.
Deze posting is gelocked. Reageren is niet meer mogelijk.